Définition d’une politique de mot de passe du compte pour les utilisateurs IAM - AWS Identity and Access Management
Règles relatives à la définition d'une politique de mot de passeAutorisations requises pour définir une politique de mot de passePolitique de mot de passe par défautOptions de politique de mot de passe personnaliséPour définir une politique de mot de passe (console)Pour modifier une politique de mot de passe (console)Pour supprimer une politique de mot de passe personnalisée (console)Définition d'une politique de mot de passe (AWS CLI)Définition d'une politique de mot de passe (API AWS)

Définition d’une politique de mot de passe du compte pour les utilisateurs IAM

Vous pouvez définir une politique de mot de passe personnalisée pour votre Compte AWS afin de spécifier les exigences de complexité et les intervalles de rotation obligatoires des mots de passe des utilisateurs IAM. Si vous ne définissez pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de mot de passe AWS par défaut. Pour plus d’informations, veuillez consulter Options de politique de mot de passe personnalisé.

Règles relatives à la définition d'une politique de mot de passe

La politique de mot de passe IAM ne s'applique pas au mot de passe du Utilisateur racine d'un compte AWS ou aux clés d'accès des utilisateurs IAM. Si un mot de passe expire, l'utilisateur IAM ne peut pas se connecter à la AWS Management Console, mais peut continuer à utiliser ses clés d'accès.

Lorsque vous créez ou modifiez une politique de mot de passe, la plupart de ses paramètres sont appliqués la fois suivante où vos utilisateurs modifient leurs mots de passe. Toutefois, certains des paramètres sont appliqués immédiatement. Par exemple :

  • Lorsque les exigences de longueur minimale et de type de caractères sont modifiés, les nouveaux paramètres sont appliqués à la prochaine modification des mots de passe. Les utilisateurs ne sont pas contraints à modifier leurs mots de passe, même si ceux-ci ne respectent pas la politique de mot de passe modifiée.

  • Lorsque vous définissez une période d'expiration de mot de passe, celle-ci est appliquée immédiatement. Par exemple, supposons que vous définissez une période d'expiration de mot de passe de 90 jours. Dans ce cas, le mot de passe expire pour tous les utilisateurs IAM dont le mot de passe existant date de plus de 90 jours. Ces utilisateurs sont tenus de modifier leur mot de passe la première fois qu'ils se connectent.

Vous ne pouvez pas créer de « politique de verrouillage » pour empêcher l'accès d'un utilisateur à un compte après un nombre défini de tentatives de connexion ayant échoué. Pour renforcer votre sécurité, nous vous recommandons de combiner des politiques de mot de passe d'un niveau de sécurité élevé à la Multi-Factor Authentication (MFA). Pour plus d'informations sur l'authentification MFA, consultez Authentication multifactorielle AWS dans IAM.

Autorisations requises pour définir une politique de mot de passe

Vous devez configurer les autorisations pour permettre à une entité IAM (utilisateur ou rôle) d'afficher ou de modifier sa politique de mot de passe de compte. Vous pouvez inclure les actions de politique de mot de passe suivantes dans une politique IAM :

  • iam:GetAccountPasswordPolicy : permet à l'entité d'afficher la politique de mot de passe pour son compte

  • iam:DeleteAccountPasswordPolicy : permet à l'entité de supprimer la politique de mot de passe personnalisée pour son compte et de revenir à la politique de mot de passe par défaut

  • iam:UpdateAccountPasswordPolicy : permet à l'entité de créer ou de modifier la politique de mot de passe personnalisée pour son compte

La politique suivante permet un accès complet pour afficher et modifier la politique de mot de passe du compte. Pour apprendre à créer une politique IAM à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur les autorisations requises par les utilisateurs IAM pour modifier leur propre mot de passe, veuillez consulter Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe.

Politique de mot de passe par défaut

Si un administrateur ne définit pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de mot de passe AWS par défaut.

La politique de mot de passe par défaut exige les conditions suivantes :

  • Longueur minimale du mot de passe de 8 caractères et longueur maximale de 128 caractères

  • Au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres et les caractères non alphanumériques (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Ne pas être identique au nom ou à l'adresse e-mail de votre compte Compte AWS

  • Mot de passe sans expiration

Options de politique de mot de passe personnalisé

Lorsque vous configurez une politique de mot de passe personnalisée pour votre compte, vous pouvez spécifier les conditions suivantes :

  • Password minimum length (Longueur minimale du mot de passe) : vous pouvez spécifier une longueur minimale de 6 caractères et une longueur maximale de 128 caractères.

  • Niveau de sécurité du mot de passe : vous pouvez cocher l’une des cases suivantes pour définir le niveau de sécurité de vos mots de passe utilisateur IAM :

    • Exiger au moins une lettre majuscule de l'alphabet latin (A–Z)

    • Exiger au moins une lettre minuscule de l'alphabet latin (a–z)

    • Nécessite au moins un chiffre

    • Exiger au moins un caractère non alphanumérique ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Turn on password expiration (Activer l'expiration du mot de passe) : vous pouvez sélectionner et spécifier une durée minimale de 1 jour et une durée maximale de 1 095 jours pendant laquelle les mots de passe utilisateur IAM sont valides après leur définition. Par exemple, si vous spécifiez un délai d'expiration de 90 jours, cela a un impact immédiat sur tous vos utilisateurs. Pour les utilisateurs dont le mot de passe date de plus de 90 jours, ils doivent définir un nouveau mot de passe lorsqu'ils se connectent à la console après la modification. Les utilisateurs dont le mot de passe date de 75 à 89 jours reçoivent un avertissement AWS Management Console concernant l'expiration de leur mot de passe. Les utilisateurs IAM peuvent modifier leur mot de passe à tout moment s'ils en ont l'autorisation. Lorsqu'ils définissent un nouveau mot de passe, la date d’expiration est réinitialisée. Un utilisateur IAM ne peut avoir qu'un mot de passe valide à la fois.

  • Password expiration requires administrator reset (L'expiration du mot de passe nécessite la réinitialisation de l'administrateur) : sélectionnez cette option pour empêcher les utilisateurs IAM d'utiliser l'AWS Management Console pour mettre à jour leurs mots de passe une fois ces derniers expirés. Avant de sélectionner cette option, vérifiez que votre Compte AWS a plusieurs utilisateurs disposant des autorisations d'administrateur nécessaires pour réinitialiser les mots de passe utilisateur IAM. Les administrateurs disposant de l'autorisation iam:UpdateLoginProfile peuvent réinitialiser les mots de passe des utilisateurs IAM. Les utilisateurs IAM disposant de l'autorisation iam:ChangePassword et de clés d'accès actives peuvent réinitialiser leur propre mot de passe de console utilisateur IAM de manière programmatique. Si vous décochez cette case, les utilisateurs IAM dont les mots de passe ont expiré doivent tout de même définir un nouveau mot de passe avant de pouvoir accéder à l’AWS Management Console.

  • Allow users to change their own password (Autoriser les utilisateurs à modifier leur propre mot de passe) : vous pouvez permettre à tous les utilisateurs IAM de votre compte d'utiliser la console IAM pour modifier leur mot de passe. Cela permet aux utilisateurs d'accéder à l'action iam:ChangePassword uniquement pour leur propre utilisateur et à l'action iam:GetAccountPasswordPolicy. Cette option n'associe aucune politique d'autorisations à chaque utilisateur. IAM applique plutôt les autorisations au niveau du compte pour tous les utilisateurs. Vous pouvez également n'autoriser que certains utilisateurs à gérer leurs propres mots de passe. Pour ce faire, décochez cette case. Pour plus d'informations sur l'utilisation de politiques visant à limiter les utilisateurs pouvant gérer les mots de passe, consultez la section Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe.

  • Prevent password reuse (Empêcher la réutilisation d'un mot de passe) : vous pouvez empêcher les utilisateurs IAM de réutiliser un certain nombre de mots de passe précédents. Vous pouvez spécifier le nombre de mots de passe précédents qui ne peuvent pas être réutilisés, entre 1 et 24 mots de passe.

Pour définir une politique de mot de passe (console)

Vous pouvez utiliser AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  5. Choisissez Custom (Personnalisé) pour utiliser une politique de mot de passe personnalisée.

  6. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez Enregistrer les modifications.

  7. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant Définir personnalisé.

La console affiche un message d’état vous informant que les exigences en matière de mot de passe pour les utilisateurs IAM ont été mises à jour.

Pour modifier une politique de mot de passe (console)

Vous pouvez utiliser AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  5. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez Enregistrer les modifications.

  6. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant Définir personnalisé.

La console affiche un message d’état vous informant que les exigences en matière de mot de passe pour les utilisateurs IAM ont été mises à jour.

Pour supprimer une politique de mot de passe personnalisée (console)

Vous pouvez utiliser AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  5. Choisissez IAM default (IAM par défaut) pour supprimer la politique de mot de passe personnalisée, puis Save changes (Enregistrer les modifications).

  6. Confirmez que vous souhaitez définir la politique de mot de passe IAM par défaut en sélectionnant Définir personnalisé.

La console affiche un message d’état vous informant que la politique de mot de passe est définie sur le réglage par défaut d’IAM.

Définition d'une politique de mot de passe (AWS CLI)

Vous pouvez utiliser AWS Command Line Interface pour définir une politique de mot de passe.

Pour gérer la politique de mot de passe de compte personnalisée à partir de la AWS CLI

Exécutez les commandes suivantes :

Définition d'une politique de mot de passe (API AWS)

Vous pouvez utiliser les opérations d'API AWS pour définir une politique de mot de passe.

Pour gérer la politique de mot de passe de compte personnalisée à partir de l'API AWS

Appelez les opérations suivantes :